Twierdzi się, że dwuletnia kampania sponsorowana przez rosyjskie państwo, mająca na celu kradzież danych od amerykańskich kontrahentów wojskowych, zakończyła się sukcesem.
Rosji udało się ukraść dane z USA, twierdzi CISA
W środę federalna agencja ds. Bezpieczeństwa cybernetycznego i infrastruktury (CISA) stwierdziła, że rosyjscy cyberprzestępcy uzyskali „znaczny wgląd w harmonogramy rozwoju i wdrażania amerykańskich platform uzbrojenia, specyfikacje pojazdów oraz plany dotyczące infrastruktury komunikacyjnej i technologii informacyjnej”.
Intruzi, według Agencji, usunęli poufne i niesklasyfikowane e-maile i dokumenty, a także dane dotyczące zastrzeżonej i kontrolowanej technologii eksportowej.
CISA zapowiedź stwierdza, że:
„Od co najmniej stycznia 2020 r. do lutego 2022 r. Federalne Biuro Śledcze (FBI), Agencja Bezpieczeństwa Narodowego (NSA) oraz Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) obserwowały regularne atakowanie przez Rosję amerykańskich kontraktorów obrony cywilnej (CDC). aktorzy cybernetyczni sponsorowani przez państwo”.
Nawiasem mówiąc, 150 000 rosyjskich żołnierzy zgromadziło się w pobliżu granic Ukrainy, a amerykańscy urzędnicy uważają, że zbliża się inwazja. Rosja twierdzi, że tego nie zrobi, podczas gdy światowi przywódcy próbują rozwiązać problem na drodze dyplomacji.
Twierdzi się, że intruzi nie zastosowali innowacyjnych metod dostępu do sieci amerykańskich kontrahentów wojskowych. Według CISAnarzędzia wykorzystywane przez wspieranych przez Kreml cyberprzestępców obejmują ugruntowane strategie, takie jak spearphishing, zbieranie danych uwierzytelniających, łamanie haseł itp.
Microsoft 365 był głównym celem atakujących, którzy próbowali go złamać, atakując jego aplikacje biurowe i uzupełniające usługi w chmurze.
Wygląda na to, że nagrodą intruzów były dane uwierzytelniające M365, które wykorzystywali do ukrywania się przez wiele miesięcy w firmach obronnych. Te penetracje były często pomijane.
„W jednym przypadku aktorzy użyli prawidłowych poświadczeń konta administratora globalnego w ramach dzierżawy M365, aby zalogować się do portalu administracyjnego i zmienić uprawnienia istniejącej aplikacji korporacyjnej, aby dać dostęp do odczytu wszystkich stron SharePoint w środowisku, a także użytkownika dzierżawcy profile i skrzynki e-mail”.
W następnym miesiącu hakerzy przeprowadzili serię ataków skoncentrowanych na CVE-2018-13379, dziurze w FortiGate SSL VPN firmy Fortinet wykrytej w maju 2019 r.
CISA udostępniła również wytyczne dotyczące środków przeciwko takim atakom.
Organizacje z dowodami włamania powinny założyć pełne włamanie tożsamości i zainicjować pełne resetowanie tożsamości.
Podstawowe środki obejmują uruchamianie oprogramowania antywirusowego, używanie silnych haseł i korzystanie z uwierzytelniania wieloskładnikowego. Sugeruje się również egzekwowanie zasady najmniejszego dostępu.
Propozycje CISA wzywają do dokładnego zbadania połączeń zaufania, w tym z dostawcami usług w chmurze.
CISA nie zakończyła jeszcze dochodzenia. Wisi nagroda w wysokości 10 milionów dolarów, aby uzyskać więcej informacji na temat rosyjskiej inwazji:
„Jeśli masz informacje na temat sponsorowanych przez państwo rosyjskich operacji cybernetycznych wymierzonych w amerykańską infrastrukturę krytyczną, skontaktuj się z programem Departamentu Stanu Rewards for Justice Program. Możesz kwalifikować się do nagrody w wysokości do 10 milionów USD, którą Departament oferuje za informacje prowadzące do identyfikacji lub lokalizacji dowolnej osoby, która działając pod kierownictwem lub kontrolą obcego rządu uczestniczy w złośliwej działalności cybernetycznej przeciwko USA infrastruktury krytycznej z naruszeniem ustawy o oszustwach komputerowych i nadużyciach (CAFA).”